El hacktivismo describe los ciberataques realizados con el objetivo de avanzar en los objetivos políticos o sociales. Estos actos a menudo implican el acceso no autorizado al sistema, utilizado no para obtener beneficios financieros, sino para expresar apoyo u oposición a causas, gobiernos o instituciones.
El término es una fusión de “hackeo” y “activismo” y fue introducido en 1996 por un miembro de Cult of the Dead Cow conocido como Omega. Desde su creación, el término ha llegado a representar una mezcla de protesta digital e interferencia cibernética.
Los hacktivistas modernos operan en pequeños equipos bien organizados con habilidades técnicas de moderadas a avanzadas. Sus motivaciones se pueden clasificar ampliamente en cuatro impulsores principales:
Las motivaciones ideológicas son la principal razón de la actividad de hacktivismo. Estos grupos suelen dirigirse a aquellos a quienes consideran una amenaza para sus creencias, ya sean religiosas, éticas o geopolíticas. Los conflictos globales en curso destacan lo profundamente arraigadas que son estas divisiones ideológicas.
Por ejemplo, el colectivo a favor de Rusia NoName057(16) marca a los partidarios de Ucrania como aliados de los “nazis ucranianos”. Mientras tanto, GlorySec, un grupo que supuestamente se originó en Venezuela, reclama lealtad a los valores occidentales y se marca como anarquicapitalista. Sus principios establecidos, centrados en la libertad y el liberalismo del mercado y, por lo tanto, los colocan en oposición a Rusia, China, así como a lo que denominan “sus regímenes de representación” como Cuba, Nicaragua, Houthi, Hezbollah y Hamas.
Aunque son menos frecuentes que las campañas ideológicas, los ciberataques motivados políticamente tienen como objetivo alterar las políticas o dar forma a las narrativas políticas. Uno de estos ejemplos es el ataque de SiegedSec al Proyecto 2025, un grupo de expertos conservador. El grupo hackeó y filtró una base de datos de 200GB, afirmando que la iniciativa pone en peligro los derechos de aborto y la comunidad LGBTQ+. SiegedSec también ha participado en operaciones como #OpTransRights, dirigidas a instituciones estadounidenses consideradas hostiles a los derechos transgénero.
Figura 1. SiegedSec explicando su imagen de motivaciones políticas
Los ataques hacktivistas nacionalistas son menos frecuentes y a menudo incorporan imágenes patrióticas o referencias culturales para justificar sus acciones. Por ejemplo, el grupo indio Team UCC ha declarado su misión de “amplificar las voces hindúes” y desacreditar lo que ve como narrativas falsas sobre la seguridad hindú en Bangladés. Se han dirigido a activos del gobierno pakistaní bajo el lema de defender el ciberespacio indio.
Del mismo modo, muchas campañas hacktivistas alineadas con Rusia suelen incluir emblemas nacionales como osos y banderas, enmarcando sus ataques como actos de defensa nacional.
El hacktivismo oportunista suele estar impulsado por la facilidad de acceso en lugar de la ideología. Los objetivos se eligen no por su relevancia política, sino por su vulnerabilidad. Por ejemplo, SiegedSec una vez comprometió una plataforma de mensajería simplemente porque su infraestructura estaba mal protegida. Aunque el origen chino de la aplicación puede haber desempeñado un papel secundario, los atacantes estaban principalmente motivados por sus buckets de Amazon S3 fácilmente explotables. Estos actores a menudo muestran una indignación juvenil, viendo el acceso no autorizado como una protesta justificada.
Figura 2. SiegedSec describe su ataque al sitio web de una aplicación de mensajería
Los grupos hacktivistas modernos suelen estar formados por un pequeño núcleo de personas de confianza, que a menudo son amigos o conocidos en línea que comparten capacidades técnicas y una ideología política o religiosa similar, que define la alineación del grupo.
El fundador de GlorySec, bajo el alias “Charon Wheezy”, describió los valores fundamentales del grupo en una publicación de Telegram que incluía una foto de grupo con miembros en estaciones de trabajo. Mientras tanto, el creador de SiegedSec, "Vio", se identifica abiertamente como parte de la comunidad LGBTQ+ y describe al grupo como "piratas informáticos peludos homosexuales" con afiliaciones pasadas a GhostSec y Sudán anónimo. Estas presentaciones suelen ser un punto de partida para reclutar a otros hackers con ideas afines.
Figura 3. Perfil personal del fundador de SiegedSec
Otros grupos como CyberVolk anuncian públicamente nuevos miembros, colaboraciones pagadas y otras oportunidades. Por el contrario, GlorySec busca personas con información privilegiada de naciones como China, Rusia y Venezuela, y puede ofrecer hasta 200 000 USD para acceder a sistemas corporativos o gubernamentales internos. La promesa de reubicación se incluye como incentivo en caso de que surja algún problema.
En la mayoría de los grupos, un pequeño equipo de liderazgo es responsable de investigar a nuevos miembros y reclutar directamente utilizando sus canales de anuncios. Aunque estos hackers a menudo se ven a sí mismos como defensores de la verdad o la libertad, la realidad de los riesgos legales sigue siendo una preocupación. Bajo presión, algunos de estos grupos, especialmente aquellos que operan en Occidente, disociarán, cambiarán de marca o tomarán medidas evasivas si están siendo investigados. SiegedSec, por ejemplo, se disolvió en julio de 2024, admitiendo el cibercrimen y citando el miedo a "el ojo del FBI".
Una de las tácticas más comunes empleadas por los hacktivistas es el ataque de denegación de servicio (DDoS) distribuido. Estas campañas a menudo son coordinadas por el grupo principal y llevadas a cabo por voluntarios utilizando herramientas de estrés HTTP. Estas herramientas, originalmente diseñadas para probar la capacidad del servidor, se utilizan para inundar sitios con tráfico malicioso para causar interrupciones.
Las retiradas de sitios web son una táctica preferida debido a su simplicidad, sin embargo, las interrupciones de DDoS suelen ser breves y suponen una amenaza limitada para las infraestructuras bien defendidas. Se pueden producir daños significativos si los ataques se programan estratégicamente, como visitar sitios que generan ingresos como casinos en línea o plataformas minoristas durante las horas pico.
Figura 4. Fuerzas cibernéticas indias dirigidas a un sitio de Hamas con DDoS
El malware no es un método de referencia para la mayoría de los grupos hacktivistas, en gran parte debido a su complejidad. Dicho esto, existen algunas excepciones. Algunos grupos desarrollan su propio ransomware para financiar sus operaciones.
Se dice que el grupo pro-ucraniano Twelve refleja las tácticas de las bandas de ransomware. Sin embargo, a diferencia de los cibercriminales tradicionales, no solicitan el pago. En su lugar, su malware cifra, exfiltra y a veces elimina datos, que luego se comparten a través de su canal de Telegram.
En otro caso, se cree que GlorySec ha distribuido malware a través de unidades USB en Venezuela y sistemas infiltrados con éxito en aproximadamente 100 organizaciones.
Figura 5. GlorySec explicando su ataque de malware
«Doxing», que es la abreviatura de «dropping dox», se refiere a la práctica maliciosa de recopilar y exponer la información personal de una persona, como direcciones, números de teléfono y datos financieros, sin el consentimiento de la víctima. Es una táctica utilizada para acosar, intimidar o dañar a las personas haciendo públicos los datos privados. Este enfoque ha ganado terreno en la era de las redes sociales, donde grandes cantidades de información personal están disponibles en línea. Si bien las motivaciones varían, generalmente surgen de disputas ideológicas, venganzas personales o el deseo de desacreditar a una figura pública.
Los ataques de fuga y piratería son cada vez más frecuentes entre los grupos hacktivistas de hoy en día. Estos ataques implican piratear redes y servidores para filtrar datos confidenciales, que luego se filtran públicamente a través de plataformas de intercambio de archivos. Este tipo de ataque suele promocionarse en el canal de Telegram de un grupo. La complejidad de este tipo de ataque sugiere que existe un proceso de reclutamiento avanzado que prioriza a los posibles reclutas que están capacitados en técnicas de hackeo ofensivo.
GlorySec se identifica como un grupo pro-oeste y antiautoritario con raíces potencialmente en Venezuela. El grupo se ha opuesto abiertamente a la gobernanza rusa y china y afirma apoyar la libertad individual y la libertad económica. Sus acciones se dirigen a entidades que consideran autoritarias o represivas, incluidos aliados y representantes de estos gobiernos, como Cuba y Hezbollah.
También han apoyado a Taiwán, lanzando #OpPRC para atacar a las empresas chinas. Argumentan que “la RPC es un país falso”, defendiendo en su lugar la independencia de Taiwán. Mientras tanto, los hackers alineados con Rusia lanzaron una contraoperación, #OpTaiwan, en consonancia con las afirmaciones de China.
El anónimo es quizás el grupo hacktivista más reconocido, conocido por su estructura poco organizada y su icónica máscara Guy Fawkes. El colectivo ha atacado sistemas gubernamentales y corporativos en consonancia con diversas causas políticas.
Entre 2008 y 2012, Anonymous llevó a cabo varios ataques de alto perfil. Uno de sus esfuerzos más notables, la “Operación de Túnez”, vio al grupo unir fuerzas con hackers locales para interrumpir ocho sitios web del gobierno tunecino mediante ataques DDoS. La campaña formaba parte del movimiento más amplio de la Primavera Árabe y contribuyó a la concienciación global del activismo digital.
Figura 6. Grupos hacktivistas con motivaciones coincidentes
Investigaciones relacionadas